课后作业
学会用fiddler抓包https请求
学会用fiddler抓包手机app中的请求
学会使用postman模拟GET, POST请求.

第六周-第三节课
抓包
抓包其实就是中间人攻击, 只是我们会主动信任像fiddler这样的代理软件.

对于服务端, 它伪装成客户端. 对于客户端, 它伪装成服务端.

抓包软件

Fiddler

https://www.telerik.com/fiddler
Charles

wireshark

web端抓包

现代互联网环境几乎都是https协议的网站

信任证书

Qi3lw.png

Rules -> Options -> HTTPS
- 勾选Decrypt HTTPS traffic
- 右上角点击Actions
- Trust Root Certificates
App端抓包

下载夜神模拟器
打开远程终端连接

QinkU.png

Rules -> Options -> Connections -> Allow remote computes to connect


- 把手机/模拟器的代理指向fiddler
wifi调出设置的时候要长按

查看当前fiddler所在pc本地局域网ip

ipconfig/ifconfig
在代理项中填写ip地址和fiddler端口, 默认是8888

信任证书

App有一定的反爬措施, 第一件事就是修改请求协议

双向验证

需要客户端也带上证书

解决请求协议上的反爬措施

安装VirtualXposed_0.18.2, JustTrustMe
模拟请求
PostMan简单使用

GET

POST

form_data

参数表单

x-www-form-urlencoded

如果headers中content-type为x-www-form-urlencoded, 那么我们需要在当前选项下填写参数

raw

请求的真实body内容.

